Blog-Spam ist ja zu einer echten Plage geworden und nicht ohne Grund kommt WordPress mittlerweile standardmäßig mit dem Askimet-Plugin daher. Dieses funktioniert auch im Wesentlichen wunderbar, ich hatte noch keinen einzigen “false positive”-Kandidaten und von insgesamt knapp 1600 geblockten Kommentaren seit August 2008 sind nicht mal 10 Stück durchgerutscht. Trotzdem ist es sehr nervig, täglich die meist zweistellige Zahl an Spam-Kommentaren aus der Askimet-Warteschlange zu löschen – und zu überfliegen, denn Risiko, dass doch mal ein legitimer Beitrag aussortiert wurde, will man ja auch keines eingehen.

Durch einen Nutzer “meines” WP-Plugins “StatPress Reloaded” wurde ich letztens auf “Project Honey Pot” aufmerksam. Die genaue Arbeitsweise des Projektes kann auf der Website nachgelesen werden, die Kurzfassung sieht so aus: Durch ein ausgeklügeltes Netz von Honeypots werden Daten über die IP-Adressen von Spammern, E-Mail-Harvestern und ähnlichen unerwünschten Netzteilnehmern erfasst. Anhand verschiedener Bewertungs-Systeme und Zeitskalen wird dann für jede IP ein “Bedrohungslevel” in Form eines Zahlenwertes gespeichert, ebenso stets die letzte Auffälligkeit.

Was bringt das nun einem WP-Nutzer? Diese Daten sind (nach kostenloser Anmeldung) über ein API frei zugänglich und das WP-Plugin http:BL ermöglicht es mit ein paar Klicks und zwei Minuten Zeit für die Einstellungen, einen Nutzen daraus zu ziehen.
Hat man das Plugin aktiviert, wird fortan jede Anfrage an das Blog zunächst gegengeprüft. Hört sich nach viel Netzwerkverkehr und einer großen Lag-Quelle an, aber die Kommunikation läuft nur über DNS-Server und ist sehr clever gelöst.
In den Einstellungen zum Plugin gibt man im Wesentlichen zwei Werte an: Den Schwellenwert für das Bedrohungslevel und das maximale Alter der letzten Auffälligkeit. Ich habe hier den Wert 25 und ein Alter von 21 Tagen gewählt – im Klartext heißt das: Wenn eine Anfrage von einer IP kommt, deren Bedrohungslevel über 25 liegt und zu der IP wurde in den letzten 21 Tagen eine verdächtige Aktion erfasst, so wird der IP eine leere Seite präsentiert.

Man kann auch alle Zugriffe loggen lassen – es ist erstaunlich, wie oft in dieser Tabelle dann Einträge stehen, die nicht eine harmlose “0″ als Bedrohungslevel haben. Zu niedrig sollte der Wert nicht gewählt werden, denn auf 5 Pünktchen kann man auch selbst mal schnell kommen, wenn man bei einem Provider mit dynamischen IPs ist und der vorige Inhaber der eigenen IP einen infizierten Rechner hat.

Um den zu Beginn gespannten Bogen zu schließen: Seit dem 17.12.2008 habe ich das Plugin http:BL nun im Einsatz und seitdem hat Askimet keinen einzigen Kommentar mehr ausfiltern müssen, da die Spammer seit diesem Tag gar kein Kommentar-Formular mehr zu Gesicht bekommen. Diese Auswirkung fand ich so drastisch, dass ich den Tipp weitergeben wollte – sowohl das Plugin im Speziellen als auch Project Honey Pot im Allgemeinen finde ich empfehlenswert.
Wer sich für Hintergründe und Details interessiert, findet dort neben der ausführlichen Erklärung der Arbeitsweise und der API auch relativ einfach beschrieben, wie man selbst bei der Erfassung der Daten mithelfen kann.